Аудит информационной безопасности

Задать вопрос

В современном мире информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных организаций. ИС используются для хранения, обработки и передачи информации. С каждым днем растет число внешних и внутренних угроз информационной безопасности (ИБ), которые могут привести к значительным финансовым и репутационным потерям.

Аудит информационной безопасности (ИБ) – крайне важный процесс, позволяющий получить объективную информацию о текущем состоянии средств обеспечения ИБ на предприятии, оценить степень защищенности данных и ИТ-систем, их соответствие определенным требованиям и критериям. Аудит ИБ проводится как в качестве первого этапа при внедрении решений по защите информации, так и в ряде случаев вне проекта, когда требуется получить независимую оценку реальной защищенности систем. Проведение аудита дает возможность заранее выявить угрозы и проблемы, чтобы в дальнейшем определить методы их устранения, позволяет существенно повысить уровень безопасности и соответствие средств защиты реальным потребностям бизнеса. Так, по мнению специалистов, проведение внеплановых аудитов позволяет сэкономить до 20% временных и 15% материальных ресурсов на обеспечение ИБ, определяя точки приложения усилий и оптимальные пути решения.

Исходя из целеполагания, «АСТ» предоставляет услуги по проведению трех основных видов аудита информационной безопасности:

  • Экспертный аудит, в рамках которого проводится оценка текущего состояния систем и средств защиты, выявление недостатков и уязвимостей.
  • Аудит соответствия требованиям, в рамках которого оценивается соответствие средств защиты требуемым международным и отраслевым стандартам.
  • Тестирование на проникновение, в ходе которого моделируются действия злоумышленника, направленные на проведение успешной атаки. Цель такого аудита – повышение защищенности за счет выявления и последующего устранения реальных векторов атак.
Аудит информационной безопасности

Аудит осуществляется в несколько этапов:

  1. Определение задач проекта. Собирается исходная информация о защищаемых объектах, информации и критериях оценки, проводятся организационные действия по подготовке к аудиту.
  2. Согласование условий и границ проведения тестирования на проникновение (внешнее/внутреннее, whitebox/blackbox, сроки/время, границы погружения и прочие важные параметры)
  3. Обследование и обработка результатов. Проводится сбор всего комплекса данных о ресурсах, системах средствах защиты, организационных мерах в области ИБ и т.п. По результатам вырабатывается консолидированная отчетность, ложащаяся в основы проведения анализа рисков, анализ соответствия требованиям и разработки рекомендаций.
  4. Проведение ручного тестирования на проникновение.
  5. Анализ рисков. Комплексная процедура оценки уровня защищенности информационных систем, учитывающая как предоставленную информацию, так и результаты тестирования на проникновение (актуальные вектора атак). Процедурой предусмотрены разработка модели угроз и модели нарушителей.
  6. Анализ соответствия стандартам и требованиям стандартов и нормативной документации. В результате соответствие либо подтверждается, либо на этапе разработки рекомендаций определяются пути доводки систем ИБ до требуемого уровня защищенности.
  7. Разработка рекомендаций. В их основу ложится весь комплекс полученной в результате обследования информации, аналитики и выводов. Рекомендации охватывают весь комплекс необходимых организационных и технических мер для обеспечения требуемого уровня обеспечения ИБ.

Объектами аудита ИБ могут выступать как отдельные компоненты ИТ-систем и инфраструктуры компании, так и весь комплекс ИТ-решений, содержащих информацию, которая подлежит защите.

Обсудить проект с экспертом
Запросить ТКП
Запросить ТКП
close
Заполните поле.
Укажите имя.
Укажите должность.
Заполните поле.
Укажите электронную почту.
Введите комментарий.
Сообщение успешно отправлено